El plugin WPB Elementor Addons para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro ‘url’ en todas las versiones hasta, e incluyendo, 1.0.9 debido a una sanitización insuficiente de la entrada y escapado de la salida. Esto permite a atacantes autenticados, con acceso de nivel Contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin WPB Elementor Addons a la última versión disponible. Además, se recomienda a los administradores del sitio que limiten el acceso de los roles de usuario a funcionalidades específicas y verifiquen regularmente los registros de actividad en busca de actividad maliciosa.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para evitar este tipo de vulnerabilidades. Asimismo, se aconseja a los usuarios estar atentos a posibles cambios no autorizados en sus sitios y realizar copias de seguridad de forma regular.